picasso

Grisza to wieści sprzed roku - link do tego dekodera jest już od dawna w temacie (sekcja "Ransom - zaszyfrowane pliki" - trzecia pozycja). To jest dekoder do infekcji CryptoLocker - obecnie to już "stara infekcja", na dodatek nieaktywna: "The original CryptoLocker infection was disabled on June 2nd, 2014 when Operation Gameover took down its distribution network. Since then there have been numerous ransomware infections that have been released that utilize the CryptoLocker name. It should be noted that these infections are not the same infection that is discussed below. If you have recently been infected with something that is calling itself CryptoLocker, you are most likely infected with the TorrentLocker infection." Ten dekoder nie działa z innymi szyfratorami, teraz jest plaga innych nowszych infekcji szyfrujących do których nie ma żadnego dekodera. Przykłady z forum: CryptoWall, Win32.Shade, "india.com". To zaledwie kilka przykładów, jest tego znacznie więcej.

RegJump Strona domowa Platforma: Windows Vista do Windows 10 32-bit i 64-bit * Licencja: freeware RegJump - Miniaturowe narzędzie obsługiwane z linii komend, które otwiera zdefiniowaną lub skopiowaną do schowka ścieżkę rejestru w systemowym regedit. Są akceptowane standardowe formy ścieżki (np. HKEY_LOCAL_MACHINE) oraz ich skróty (np. HKLM). Narzędzie jest bardzo uproszczone i ma o wiele mniej parametrów niż linkowany powyżej RegJumper. Składnia polecenia: D:\Download\RegJump>regjump /? Regjump v1.1 Copyright © 2013-2015 Mark Russinovich Sysinternals - www.sysinternals.com usage: regjump |-c> -c Copy path from clipboard. e.g.: regjump HKLM\Software\Microsoft\Windows D:\Download\RegJump> Można utworzyć specjalny skrót uruchamiający skok do rejestru na podstawie ścieżki skopiowanej do schowka systemowego. Instrukcje tutaj. * Program jest 32-bitowy, tzn. że ma limitacje na systemie 64-bit. Wywołuje 32-bitową wersję regedit, w konsekwencji 64-bitowa część rejestru nie jest widziana i może nastąpić przeniesienie do niewłaściwego klucza. Np. próba otworzenia klucza HKLM\SOFTWARE doprowadzi do otworzenia 32-bitowego odpowiednika HKLM\SOFTWARE\Wow6432Node. Jeśli ktoś szuka poprawnie działającej 64-bitowej wersji obsługiwanej z linii komend, może skorzystać z linkowanego wcześniej RegJumpera, RegScanner z parametrami /regedit i /clipregedit lub NirCMD z parametrem regedit.

Wprawdzie poprzednie wpisy zostały usunięte, ale utworzyły się w międzyczasie nowe. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [ZgN8ZyBhngoonJjN] => c:\documents and settings\bb\dane aplikacji\zgn8zybhngoonjjn\zgn8zybhngoonjjn.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [x28L9mM7M0TJLKtY4TnMv] => c:\documents and settings\bb\dane aplikacji\x28l9mm7m0tjlkty4tnmv\x28l9mm7m0tjlkty4tnmv.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [bvIkyhS6eVotKhiDws] => c:\documents and settings\bb\dane aplikacji\bvikyhs6evotkhidws\bvikyhs6evotkhidws.exe [889976 2015-04-07] (Opera Software) C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\bb\Dane aplikacji\BvIkyhS6eVotKhiDws C:\Documents and Settings\bb\Dane aplikacji\x28L9mM7M0TJLKtY4TnMv C:\Documents and Settings\bb\Dane aplikacji\ZgN8ZyBhngoonJjN EmptyTemp: Tak jak poprzednio: zapisz jako fixlist.txt obok FRST, wejdź w Tryb awaryjny (na konto bb) i opcja Fix w FRST. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Notuję następujące problemy adware w przeglądarkach: - Firefox zainfekowany adware DiscountExt. - Google Chrome przekonwertowane przez adware MultiPlug do wersji "developerskiej" i na bank tam było lub jest jakieś niewidoczne w logu dodatkowe rozszerzenie adware. Wymagana reinstalacja od zera. - Opera ma zainstalowane rozszerzenie Zenmate. Jeśli to wersja darmowa, serwuje reklamy, które mogą tworzyć "overlay": KLIK. Ale spowolnienie sieci to może być z całkiem innej przyczyny, tzn. aktywność Panda Internet Security 2014 i doinstalowanych dodatkowych skanerów. Do przeprowadzenia następujące akcje: 1. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Google Chrome: Wyeksportuj tylko zakładki. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, zaznaczając podczas deinstalacji Usuń także dane przeglądarki. 3. W Operze odinstaluj Zenmate, jeśli to wersja darmowa serwująca reklamy. 4. Przez Panel sterowania odinstaluj dodatkowe skanery, stare wersje, zbędniki: Acrobat.com, Bitdefender 60-Second Virus Scanner, Bonjour, Java 7 Update 71, SUPERAntiSpyware. Sugeruję też przewertować firmowe oprogramowanie Acer i odinstalować co nie jest używane, co obniży liczbę uruchamianych procesów - np. CyberLink PowerDVD 9, MyWinLocker Suite, Norton Online Backup, wszystkie gry Oberon, pakiet Live Essentials. 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> {1C21D719-C031-482D-A625-A9A98863372B} URL = Toolbar: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> No Name - {30CEEEA2-3742-40E4-85DD-812BF1CBB83D} - No File HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bit Task: {EEB95C0A-9515-4DC1-B7D6-9E93B520CFB0} - System32\Tasks\{297C785B-E46A-4172-BE39-1E59FADA07D0} => pcalua.exe -a "C:\GOG Games\Planescape Torment\Setup-GhostDog's-PST-UI.exe" -d "C:\GOG Games\Planescape Torment" Task: {F3B69E76-FCEB-42A9-88BE-72AC309B2B6C} - System32\Tasks\{3F25AC42-5546-4903-AC1C-E71A6801619F} => pcalua.exe -a E:\GraphPad.Prism.v5.01.Retail.Incl.Keymaker-ZWT\setup.exe -d E:\GraphPad.Prism.v5.01.Retail.Incl.Keymaker-ZWT S3 AmUStor; \SystemRoot\system32\drivers\AmUStor.SYS [X] C:\Program Files (x86)\ActiveDiscount C:\Program Files (x86)\AdDToThis C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SpaceCCoeuPonuApp C:\Program Files (x86)\The Key for YouTube C:\ProgramData\*.bdinstall.bin C:\ProgramData\{6102b12a-c37a-1cde-6102-2b12ac37c4ab} C:\ProgramData\{c5a24645-6934-8e8c-c5a2-246456931915} C:\ProgramData\2609058157272681152 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Temp C:\Users\Kaktus\AppData\Roaming\appdataFr3.bin C:\Users\Kaktus\AppData\Roaming\Microsoft\Word\Final%20Year%20project%20report%20(draft)304393153058117901\Final%20Year%20project%20report%20(draft).docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Ten "rootkit" w GMER to bibilioteka SUPERAntiSpyware wszczepiona do explorer.exe: ---- Processes - GMER 2.1 ---- Library C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL (*** hidden *** ) @ C:\Windows\Explorer.EXE [1984] 0x10000000 Ogólnie w raportach brak oznak czynnej infekcji, do usunięcia będą tylko pozycja SpyHunter (wątpliwy skaner-oszust!) oraz stare źle wyczyszczone wpisy wyglądające na pochodną ZeroAccess + inne drobne śmietki, ale to potem - one nie mają znaczenia w kontekście zgłaszanych problemów, są martwe. Proszę zaprezentuj log Avira pokazujący owe "próby modyfikacji rejestru". Na razie najmocniejszy kandydat to inwazyjny sterownik DAEMON Tools: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2012-11-12] (DT Soft Ltd) Avira będzie wykrywać czynności tych specyficznych sterowników, niekiedy klasyfikując je jako "rootkit".

To był tylko komentarz ogólny, a widoczne wpisy w logu, w tym wpisy portalu Instalki, już dawno zostały przetworzone w Fixie FRST. AdwCleaner nie zajmuje się konkretnie polskimi Asystentami tylko skutkami ich działania, ale w niekompletnym zakresie. Co wykrył: szczątki adware, w tym stare, niektóre niekoniecznie pochodzą od "Asystentów". Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres do-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy do-search.com. 2. Dopiero po tych akcjach uruchom ponownie AdwCleaner i wybierz opcje Szukaj + Usuń, dostarcz wynikowy log AdwCleanerS0.txt.

W temacie wyszczególniasz detekcję "QVM10.0", w podanym wyciągu skanera zaś "QVM28.0" - to na pewno odpowiedni log? A sama (heurustyczna zresztą) detekcja nie wygląda mi na zagrożenie, ten komponent zdaje się należeć do PunkBuster Services: C:\Users\Agnieszka\AppData\Local\PunkBuster\BF3\pb \pbsv.dll HEUR/QVM28.0.Malware.Gen Deleted A czy przypadkiem tu nie jest na odwrót i to usuwanie 360 Internet Security (uszkodzenie PunkBuster) powoduje ten efekt? W raportach brak jakichkolwiek oznak czynnej infekcji i moim zdaniem jej tu nie ma. Natomiast jest inny poważny problem: zmasakrowanie systemu potężnymi instalacjami pakietów zabezpieczających - równolegle aktywnie działają 360 Internet Security, Avast Free Antivirus, Kaspersky PURE 3.0. Spowolnienie systemu ma tu jak najbardziej uzasadnienie, co więcej, mnie aż dziwi, że system się uruchomił! Należy szybko sprawę rozwiązać i odinstalować dwa wybrane z trzech wyliczanych. Sugeruję zostawić albo Avast, albo Kasperskiego i wyrzucić chiński produkt. Po akcji zrób nowe logi FRST (włącznie z Addition) mające przedstawić wykonanie zadania.

Czynnej infekcji już tu nie widać, tylko szczątki po adware, ale jest inny grubszy problem - działa wspólnie Avast z niepoprawnie pozornie odinstalowanym McAfee (sterowniki czynne). Do wdrożenia następujące akcje: 1. Deinstalacje: - Wejdź w Tryb awaryjny i zastosuj McAfee Consumer Product Removal Tool. - Opuść Tryb awaryjny. Odinstaluj w normalny sposób ten stary zintegrowany z Acer Norton Online Backup. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tt.2.126.2015.rar.lnk [2015-03-08] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140914 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140914 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> DefaultScope {DCB811C6-E54A-4D26-92BB-64B90605BF8C} URL = SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> {DCB811C6-E54A-4D26-92BB-64B90605BF8C} URL = SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> {ED4235A7-3875-48B4-8E8B-9AB4FDEC7DC8} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=404 S3 cpuz136; \??\C:\Users\user\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver" C:\Program Files (x86)\CoupMania C:\Program Files (x86)\WhiatteCoUpon C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\{c7505c27-787c-1612-c750-05c27787709d} C:\ProgramData\8831565796815270903 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\All MMO Games.lnk C:\Users\user\AppData\Local\Mozilla C:\Users\user\AppData\Roaming\Mozilla C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RtkGUI.lnk Folder: C:\Windows\SchCache Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Tt.2.126.2015.rar.lnk /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{11F6D5AB-263F-388E-74DE-E3DECD390E3F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\HKU\S-1-5-21-570667405-809793547-468171985-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\HKU\S-1-5-21-570667405-809793547-468171985-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

To jest definitywnie infekcja - imitacje "Acronis", "Google", "Opera" i "Microsoft". Zaś polityka "HideSCAHealth" nie występuje na systemie XP, więc została dodana wtórnie. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 MSICDSetup; \??\E:\CDriver.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\All Users\Pulpit\Opera.lnk C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4 C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU C:\Documents and Settings\bb\Dane aplikacji\startup C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\bb\Moje dokumenty\SafePCRepair.exe C:\WINDOWS\avastSS.scr C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\*.tmp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny (loguj się na konto bb a nie Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Drobniejsze rzeczy: - Przez Dodaj/Usuń programy odinstaluj sponsorowany wtręt McAfee Security Scan Plus oraz adware Search App by Ask. - Na wszelki wypadek przeinstaluj przeglądarki. Dodatkowo zresetuj cache wtyczek Google Chrome, by usuinąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt.

Ale przecież mówię, byś pominął krok numer 1 i wdrożył punkty 2 (usuwanie komponentów Google skryptem FRST) + 3 (nowa instalacja Google Chrome).

Logi z przestarzałego OTL nie są tu już obowiązkowe, ani brane pod uwagę. Usuwam. Infekcji w rozumieniu trojanów / wirusów tu nie widać, są tylko polityki Google (zapewne wprowadzone przez jakieś adware) i drobne szczątki adware, ale to nie wiąże się z problemem Avast. 1. Wejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility. Po tym dopiero pozostałe problemy: 2. Opuść Tryb awaryjny. Via Dodaj/Usuń programy odinstaluj starocie i zbędniki: Adobe Flash Player 16 PPAPI, Adobe Shockwave Player 11.5, Browser Configuration Utility, Java 7 Update 7. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [GEST] => ] HKU\S-1-5-21-1085031214-1960408961-682003330-1002\...\Run: [Clownfish] => [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://isearch.\u003C!--- Page(page_conn_problem_waiting)=[] --->\u003CHTML>\u003CHEAD>\u003CMETA HTTP-EQUIV=\ CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-04-03] CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-04-03] SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420820123&from=cor&uid=WDCXWD1600AAJS-00L7A0_WD-WMAV3505620256202&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-1960408961-682003330-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420820123&from=cor&uid=WDCXWD1600AAJS-00L7A0_WD-WMAV3505620256202&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-1960408961-682003330-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420820123&from=cor&uid=WDCXWD1600AAJS-00L7A0_WD-WMAV3505620256202&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-1960408961-682003330-1002 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 HKU\S-1-5-21-1085031214-1960408961-682003330-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie_rsearch.html Toolbar: HKLM - No Name - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No File C:\Documents and Settings\All Users\Dane aplikacji\0c3a7392-abfa-41f5-95a9-5e339ac76b7b C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\LogMeIn C:\Documents and Settings\All Users\Dane aplikacji\Nexon C:\Documents and Settings\Marzena\servers.def C:\Documents and Settings\Marzena\servers.def.lkg C:\Documents and Settings\Marzena\servers.def.vpx C:\Documents and Settings\Marzena\Dane aplikacji\AVAST Software C:\Documents and Settings\Marzena\Dane aplikacji\BANDISOFT C:\Documents and Settings\Marzena\Dane aplikacji\Mozilla C:\Documents and Settings\Marzena\Dane aplikacji\Skype\My Skype Received Files\Bandicam(1).lnk C:\Documents and Settings\Marzena\Dane aplikacji\Skype\My Skype Received Files\Bandicam.lnk C:\Documents and Settings\Marzena\Dane aplikacji\Skype\My Skype Received Files\EPSON Scan.lnk C:\Documents and Settings\Marzena\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Marzena\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\AVAST Software C:\Program Files\Mozilla Firefox C:\Program Files\XTab C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\*.tmp C:\WINDOWS\system32\servers.def C:\WINDOWS\system32\servers.def.lkg C:\WINDOWS\system32\servers.def.vpx C:\WINDOWS\system32\Drivers\*.tmp CMD: dir /a "C:\Documents and Settings" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona), opcja numer 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice (o ile nadal będzie widoczny). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Marzena\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Niestety "fud@india.com" to jest kolejny wariant szyfratora "decode@india.com" (KLIK), do którego nie ma dekodera i nie jest możliwe odszyfrowanie plików... Infekcja jest aktywna, więc zajmę się jej usuwaniem, ale zaszyfrowane dane to sprawa która jest nie do rozwiązania, jeśli nie posiadasz kopii zapasowej cennych danych. Poboczne problemy: źle doczyszczone komponenty adware oraz ślady używania SpyHunter (to wątpliwy program z czarnej listy!). W kwestii usuwania infekcji per se i reszty problemów: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\16B.tmp () Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\sign.bmp () R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-04-16] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] R3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1229272821-789336058-1801674531-1003\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x5F000000 HKU\S-1-5-21-1229272821-789336058-1801674531-1003\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420993831&from=cor&uid=SAMSUNGXHD252HJ_S17HJDWQA06107" CHR HKLM\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\APN\GoogleCRXs\apnorjtoolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKU\S-1-5-21-1229272821-789336058-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420993831&from=cor&uid=SAMSUNGXHD252HJ_S17HJDWQA06107&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=CFF8E933-8E17-4C7D-8158-65C2CF33152E&apn_sauid=9AC4230A-F7C9-449D-BFE5-7BA08C1F44B2 SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=CFF8E933-8E17-4C7D-8158-65C2CF33152E&apn_sauid=9AC4230A-F7C9-449D-BFE5-7BA08C1F44B2 SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7027C693-118E-487F-8C19-D2869A5E62CE} C:\Documents and Settings\Maciek\daemonprocess.txt.id-7656544852_fudx@lycos.com C:\Documents and Settings\Maciek\Dane aplikacji\Babylon C:\Documents and Settings\Maciek\Dane aplikacji\sign.bmp C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Moje dokumenty\Optimizer Pro C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\Enigma Software Group C:\Program Files\Malwarebytes Anti-Malware C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\tStLibG.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Jeśli po powyższym usywaniu tło Pulpitu zrobi się "puste", wejdź do opcji ustawiania tapety i wybierz dowolny niezaszyfrowany obraz. 3. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Java 7 Update 45, McAfee Security Scan Plus. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Hitman nie jest darmowy, ale powinien umożliwić usuwane na trialu, jak to w innych tematach się dzieje. Może był używany już wcześniej i czasokres triala "wygasł", stąd prośba o rejestrację. Te wykryte rzeczy są błahe i można je usunąć na różne sposoby ręcznie. 1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-4209209786-2917733824-1122995674-1000\Software\AppDataLow\Software\Conduit DeleteKey: HKU\S-1-5-21-4209209786-2917733824-1122995674-1000_Classes\Wow6432Node\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d} DeleteKey: HKU\S-1-5-21-4209209786-2917733824-1122995674-1001_Classes\Wow6432Node\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d} Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Approved Extensions" /v {4D2D3B0F-69BE-477A-90F5-FDDB05357975} /f Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Approved Extensions" /v {98889811-442D-49DD-99D7-DC866BE87DBC} /f Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v bProtectNewTabPageShow /f Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v bProtectShowTabsWelcome /f CMD: del /q "C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\tatowy\MIO_350_w\MIO P350 user guide provided through pdfretriever.com.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Wyczyść Tymczasowe pliki internetowe Internet Explorer oraz Cookies Google Chrome z poziomu opcji przeglądarek.

Może problem CD-ROM wynika z filtrów nałożonych na urządzenie przez instalacje programów trzecich. Pobierałam w skrypcie FRST dane o filtrach - jest wartość UpperFilters kierująca na GEARAspiWDM (sterownik Apple wstawiony przez iTunes), na dokładkę jeszcze edevmon (sterownik ESET): HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} Class REG_SZ CDROM ClassDesc REG_SZ @%SystemRoot%\System32\StorProp.dll,-17001 EnumPropPages32 REG_SZ storprop.dll,DvdPropPageProvider NoInstallClass REG_SZ 1 SilentInstall REG_SZ 1 IconPath REG_MULTI_SZ %SystemRoot%\System32\imageres.dll,-30 LastDeleteDate REG_BINARY 50C3657AA254D001 UpperFilters REG_MULTI_SZ GEARAspiWDM\0edevmon vs. R0 edevmon; C:\Windows\System32\DRIVERS\edevmon.sys [239296 2013-09-17] (ESET) No to spróbujmy te filtry ściągnąć i zobaczymy co się stanie. Zawsze będzie można je przywrócić prostym importem rejestru. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /v UpperFilters /f DeleteQuarantine: Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi reset i powstanie kolejny fixlog.txt. Przedstaw go i wypowiedz się czy są jakieś zmiany w funcjonowaniu CD-ROM.

TDSSKiller wykrywa ten sterownik. Przeprowadź kolejne działania: 1. Uruchom TDSKiller ponownie, tym razem dla wyniku UDS:DangerousObject.Multi.Generic dobierz akcję Delete i zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [A6C9AC6C] => C:\Documents and Settings\q\Dane aplikacji\A6C9AC6C\bin.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pdm27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Pdm27.sys => ""="Driver" S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [320120 2014-05-28] (Duplex Secure Ltd.) C:\Documents and Settings\UpdatusUser\Dane aplikacji\Adobe C:\Documents and Settings\UpdatusUser\Dane aplikacji\AVG C:\Documents and Settings\UpdatusUser\Dane aplikacji\Macromedia C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\AVG C:\WINDOWS\System32\Drivers\sptd.sys EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz log TDSSKiller. Dołącz też fixlog.txt.

Rozumiem, że problem z Przywracaniem systemu został naprawiony, ale czy są jakieś zmiany w kwestii zgłoszonych problemów numer 2 i 3?

Zadania wykonane. A jednak infekcja miała kolejne ukryte komponenty. Przetwarzałam podejrzany folder "A6C9AC6C" i się okazało, że po jego usunięciu ujawnił się wpis startowy (obecnie pusty), z którego ładował się dziad. Dodatkowo, jest tu mocno podejrzany świeży sterownik Pdm27, który stawia opór (nie pozwolił się wyłączyć ani usunąć rozruchu w awaryjnym). Poproszę o odczyt z programu Kaspersky TDSSKiller. Jeśli program coś wykryje, przyznaj akcję Skip i tylko dostarcz log wynikowy. Możesz zostawić, choć aktualnie są aż dwa Adblocki i jeden z nich należy wyłączyć.

Wykonane. Teraz: 1. usuń narzędzia za pomocą DelFix. 2. Zrób skan za pomocą Hitman Pro, nic nie usuwaj i dostarcz wyniki.

Uruchom ponownie AdwCleaner, zastosu po kolei opcje Szukaj i Usuń, pokaż wynikowy log C:\Adwcleaner\AdwCleaner[s1].txt.

Skoro nic się nie da zrobić, to uruchom środowisko WinRE i zrób operację Odśwież komputer (zachowanie ustawień i aplikacji ModernUI, ale usunięcie aplikacji desktopowych) lub mocniejsze Resetuj komputer (przywrócenie postaci fabrycznej, tu pewnie ze zintegrowanym McAfee). Wejście do tego środowiska powinno być dostępne z poziomu nowych Ustawień lub Zaawansowanych opcji rozruchu (gdzie jest wyliczany awaryjny i inne tryby). Ogólne wytyczne: KLIK. PS. Mówisz o "braku antywirusa", podczas gdy jest pakiet McAfee go zawierający.

Kolejne poprawki. Do Notatnika wklej: DeleteKey: HKCU\Software\DataMngr DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\escort.escrtBtn.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Prod.cap DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT1098640 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Toolbar.CT2724386 DeleteKey: HKLM\SOFTWARE\Wow6432Node\DataMngr RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Wykonaj więc od razu punkty 2 + 3. Zakładanie folderu ręcznie nic nie wskóra, gdyż nie odbudujesz tym sposobem jego zawartości (rejestr i cała struktura konta). W związku z tym po prostu w kolejnej partii zadań usunę to konto całkowicie.

Wyniki Hitman miały zostać usunięte via Hitman. I dopiero po tym zadaniu miały być wyczyszczone foldery Przywracania systemu. Kolejność istotna.

Udało się ubić infekcję i nie jest już czynna, ale jeszcze kupa roboty przed nami. Zastopowało usuwanie plików HELP_DECRYPT.* (w użyciu), są też inne problemy do rozwiązania (w tym usuwanie szczątków po odinstalowanych programach). Kolejna porcja zadań: 1. Był uruchamiany GMER. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj: - Stare wersje: Adobe Acrobat 5.0, Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java™ 6 Update 30. - Adware/PUP: Foxtab, FoxTab PDF Creator, FoxTab PDF Reader, Media Player Classic Packages, Update for Foxtab, Update for PriceFountain Jeśli coś zwróci błąd lub nie będzie widoczne, kontynuuj do dalszej części instrukcji. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: Mobile Partner. RunOuc DisableService: Pdm27 DisableService: sptd S3 NPF; C:\WINDOWS\System32\drivers\NPF.sys [50704 2015-04-11] (CACE Technologies, Inc.) S3 pwdrvio; C:\WINDOWS\system32\pwdrvio.sys [15576 2013-03-07] () S3 pwdspio; C:\WINDOWS\system32\pwdspio.sys [10200 2013-03-07] () S3 stdpms; C:\WINDOWS\System32\DRIVERS\stdpms.sys [23272 2015-03-04] (Splashtop Inc.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pdm27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Pdm27.sys => ""="Driver" HKLM\...\Run: [jemaka] => "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe" HKLM\...\Policies\Explorer\Run: [jemaka] => "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe" No File AlternateDataStreams: C:\Documents and Settings\q\Local Settings:init CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* C:\SSUUpdater.log C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\AVS4YOU C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0919D19D-6E14-4E74-9619-F4E0F239D82D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3558F1A9-8630-47F8-8ECC-D945F1D27ADB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{59C415FA-C74E-46FA-871D-5695E4BB2291} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{679F6E9F-5241-437E-A1B8-550C2D652F09} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{88878162-08D5-4262-A0EC-6235762863E2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{902292F5-FA7D-4C8D-81FA-C9C28E43DD1E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{A1141E5C-71B2-4522-A04C-2884EB50B563} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B7956033-6D53-45E6-BDAA-A95FEBC9C2E2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{DE88B8F4-19BB-4180-9BBE-F4EB2E169774} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{E714F3B4-43C2-45BA-9FCD-F4AA59DB6444} C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\Origin C:\Documents and Settings\All Users\Dane aplikacji\Screentime C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dokumenty\Baidu C:\Documents and Settings\All Users\Dokumenty\Norton C:\Documents and Settings\All Users\Menu Start\Programy\BFlix C:\Documents and Settings\q\E C:\Documents and Settings\q\.cache C:\Documents and Settings\q\.yawcam C:\Documents and Settings\q\Dane aplikacji\PnkBstrK.sys C:\Documents and Settings\q\Dane aplikacji\WB.CFG C:\Documents and Settings\q\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Documents and Settings\q\Dane aplikacji\A6C9AC6C C:\Documents and Settings\q\Dane aplikacji\Adobe C:\Documents and Settings\q\Dane aplikacji\Audacity C:\Documents and Settings\q\Dane aplikacji\AVG C:\Documents and Settings\q\Dane aplikacji\AVS4YOU C:\Documents and Settings\q\Dane aplikacji\BANDISOFT C:\Documents and Settings\q\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\q\Dane aplikacji\dlg C:\Documents and Settings\q\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\q\Dane aplikacji\GanymedeNet C:\Documents and Settings\q\Dane aplikacji\GG C:\Documents and Settings\q\Dane aplikacji\GrabIt C:\Documents and Settings\q\Dane aplikacji\gtk-2.0 C:\Documents and Settings\q\Dane aplikacji\Image Zone Express C:\Documents and Settings\q\Dane aplikacji\Macromedia C:\Documents and Settings\q\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\q\Dane aplikacji\Need for Speed World C:\Documents and Settings\q\Dane aplikacji\OpenFM C:\Documents and Settings\q\Dane aplikacji\Origin C:\Documents and Settings\q\Dane aplikacji\SumatraPDF C:\Documents and Settings\q\Dane aplikacji\Sun C:\Documents and Settings\q\Dane aplikacji\Unity C:\Documents and Settings\q\Dane aplikacji\WinRAR C:\Documents and Settings\q\Dane aplikacji\WorldofTanks C:\Documents and Settings\q\Menu Start\FoxTab PDF Reader C:\Documents and Settings\q\Menu Start\Programy\Offroad C:\Documents and Settings\q\Menu Start\Programy\WorldofTanks C:\Documents and Settings\q\Pulpit\gry android\Skrót do bandicam 2014-12-22 14-18-02-937.lnk C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Ares C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Apple Computer C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ChomikBox C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Downloaded Installations C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Electronic_Arts_Inc C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\GG C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\gegl-0.2 C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\gtk-2.0 C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\NPE C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\PC C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Relmtech C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Screentime C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Unity C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Wheelman C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\WorldofTanks C:\Documents and Settings\UpdatusUser\Dane aplikacji\Mozilla C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\Adobe C:\Program Files\Ares C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Adobe AIR C:\Program Files\Common Files\AVSMedia C:\Program Files\Common Files\EAInstaller C:\Program Files\Common Files\Java C:\Program Files\Common Files\Symantec Shared C:\Program Files\EA Sports C:\Program Files\Edgard Multimedia C:\Program Files\Extra Screen Capture Free C:\Program Files\FoxTabPDFConverter C:\Program Files\FoxTabPDFReader C:\Program Files\FreeTime C:\Program Files\Ganymede C:\Program Files\GUME6.tmp C:\Program Files\Java C:\Program Files\Midway Games C:\Program Files\mp3DirectCut C:\Program Files\Opera C:\Program Files\Photo Pos Pro C:\Program Files\Program4Pc C:\Program Files\Splashtop C:\Program Files\Windows Sidebar C:\Program Files\WinRAR C:\Program Files\Yawcam C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\pwdrvio.sys C:\WINDOWS\system32\pwdspio.sys C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\drivers\NPF.sys C:\WINDOWS\system32\drivers\stdpms.sys Folder: C:\temp CMD: dir /a "C:\Documents and Settings\UpdatusUser\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ma nastąpić restart i powstać kolejny plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bflix extension, MSN Homepage oraz co tam jeszcze podejrzanego zobaczysz. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi (bez Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się jak działa system.

1. DelFix wykonał zadanie i możesz usunąć plik C:\Delfix.txt. 2. Wyniki Hitman: Rekordy "Suspicious files" do zignorowania (kopia FRST w Tymczasowych plikach internetowych i pliki PunkBuster). Reszta do usunięcia: "downloader", szczątki adware i Cookies. 3. Na koniec wyczyść foldery Przywracania systemu: KLIK.